Exchange 2010 中的 TLS 功能及相關術語
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2014-06-18
Microsoft Exchange Server 2010 提供管理功能及其他增強功能,可改善傳輸層安全性 (TLS) 的整體管理。使用此功能時,需要了解一些 TLS 相關功能。部分術語及概念適用於多個 TLS 相關功能。在本主題中,每個功能都提供了簡短說明,可協助您了解 TLS 及網域安全性功能集的部分相關差異及一般術語:
**傳輸層安全性 **TLS 是標準的通訊協定,用以提供網際網路或內部網路的安全 Web 通訊。它可讓用戶端驗證伺服器,或選擇性地讓伺服器驗證用戶端。它也藉由加密通訊,提供了安全的通道。TLS 是最新版本的安全通訊端層 (SSL) 通訊協定。
相互 TLS 相互 TLS 驗證與 TLS 不同,因為 TLS 通常會經過部署。一般而言,部署 TLS 後,TLS 只會以加密形式提供機密性。傳送端與接收端之間不會進行任何驗證。除了這種類型的部署之外,有時候部署 TLS 後,只會驗證接收伺服器。這類 TLS 部署常見於實作 TLS 的 HTTP。這種只驗證接收伺服器的實作就是 SSL。
利用相互 TLS 驗證,每部伺服器均可透過驗證另一部伺服器所提供的憑證,來確認該伺服器的身分。在此情況下,若郵件是在 Exchange 2010 環境中透過驗證的連線接收自外部網域,則 MicrosoftOutlook 將會顯示「安全的網域」圖示。
網域安全性 網域安全性是一組功能,例如憑證管理、連接器功能,以及使相互 TLS 功能成為可管理及有用技術的 Outlook 用戶端行為。
Opportunistic TLS 在 Exchange 2010 中,安裝程式會建立自行簽署憑證。預設會啟用 TLS。這可讓任何傳送系統將輸入 SMTP 工作階段加密至 Exchange。依據預設,Exchange 2010 也會針對所有遠端連線嘗試 TLS。
直接信任 預設會驗證及加密 Edge Transport Server 與 Hub Transport Server 之間的所有流量。而且,驗證及加密的基礎機制為相互 TLS。Exchange 2010 不使用 X.509 驗證,改為使用直接信任來驗證憑證。直接信任表示 Active Directory 或 Active Directory 輕量型目錄服務 (AD LDS) 中所顯示的憑證會驗證該憑證。Active Directory 可視為是一種受信任的儲存機制。使用直接信任時,憑證是自行簽署或由憑證授權單位簽署都無所謂。當您向 Exchange 組織訂閱 Edge Transport Server 時,Edge 訂閱會在 Active Directory 中發佈 Edge Transport Server 憑證,供 Hub Transport Server 進行驗證。MicrosoftExchange EdgeSync 服務會使用集線傳輸伺服器憑證集來更新 AD LDS,供邊際傳輸伺服器進行驗證。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。